Comment garder vos messages Slack confidentiels à l'aide de Shhlack Encryption

Added 2018-07-10

Communiquer avec vos collègues sur Slack est très amusant. L'outil de messagerie instantanée rassemble votre lieu de travail dans un portail de communication unique et vous évite de vous fier aux anciens fils de discussion.

Mais Slack ne protège pas vos messages. Slack ne propose malheureusement pas de cryptage intégré.

C’est là que le Outil de cryptage Shhlack pour Slack entre. Voyons Shhlack, ce qu’il est et comment l’utiliser pour se protéger des regards indiscrets.

Qu'est-ce que Shhlack?

Shhlack est un service de cryptage de messages pour Slack développé par Minded Security . Le développement d'un outil de cryptage de messagerie était motivé par deux choses: les modifications de la politique de confidentialité de Slack et la conformité au GDPR.

Le 20 avril 2018, Slack a mis à jour sa politique de confidentialité. La nouvelle politique de confidentialité introduit quelques ajouts et modifications qui permettent aux propriétaires de certains plans Slack d'accéder plus facilement aux données d'autres utilisateurs.

Par exemple, ceux avec un Plan Plus (12,50 USD par utilisateur et par mois) peuvent demander l’accès à un «outil d’exportation en libre-service» qui leur permet de télécharger «toutes les données de leur espace de travail», y compris «du contenu provenant de canaux publics et privés et de messages directs».

De toute évidence, c'est tout un changement. Mais il existe un autre changement plus inquiétant pour les utilisateurs de Slack:

«Les avis automatiques aux employés seront supprimés. L’employeur décidera maintenant si les utilisateurs seront informés de l’export de leurs conversations. ”

Avant la mise à jour des règles de confidentialité, les utilisateurs de Slack recevaient une notification lorsque leurs messages privés étaient exportés. Mais à présent, l'intégralité de l'espace de travail Slack peut être téléchargée sans avertissement, à condition que le propriétaire de l'espace de travail ait préalablement informé ses utilisateurs que c'était une possibilité.

Dans un environnement d'entreprise, cela équivaut à une notification formelle que cela pourrait arriver à un moment donné, donc très probablement lorsque vous signez votre contrat.

De plus, Slack n’applique pas les mesures. Slack m'a confirmé qu '«il incombe à chaque propriétaire d'espace de travail de s'assurer que les deux mesures sont en place» avant de procéder à l'exportation des données via l'outil d'exportation en libre-service.

Attendez, mon patron peut lire mes messages distendus?

Votre patron a une chance de lire vos messages Slack s'ils ont un plan Slack Plus ou un plan Enterprise Grid. Cela signifie qu’ils pourront lire toutes ces belles choses que vous et vos collègues avez dites à leur sujet!

Toutefois, cela ne s’applique pas complètement aux forfaits Gratuits ou Standard. Les propriétaires d'espaces de travail gratuits ou standard peuvent utiliser l'exportation standard pour «exporter du contenu à partir de canaux publics uniquement». Les canaux et les messages privés nécessitent un «processus légal valide», le «consentement de tous les membres» ou la démonstration de «une exigence ou un droit en vertu lois."

Comment fonctionne le cryptage Shhlack?

Shhlack utilise des clés pré-partagées (PSK). PSK signifie que si vous voulez que Shhlack crypte vos messages, vous devez échanger vos clés sous forme de phrase secrète. Seuls les autres utilisateurs possédant la phrase secrète peuvent déchiffrer vos messages, et inversement.

Fait intéressant, vous pouvez envoyer des messages en utilisant le cryptage Shhlack dans les discussions de groupe, mais les personnes sans phrase secrète ne voient que gobbledygook.

Les deux inconvénients à Shhlack

L'idée derrière Shhlack est pure. Slack est en train de devenir l'outil de messagerie de choix sur le lieu de travail, des petites entreprises aux conglomérats mondiaux. La confidentialité des données est importante et les utilisateurs se demandent qui peut jeter un coup d'œil par-dessus leur épaule.

Mais Shhlack a quelques problèmes.

Tout d'abord, vous devez partager vos clés. De toute évidence, vous ne pouvez pas partager vos clés avec Slack, car quelqu'un pourrait exporter l'espace de travail, trouver vos clés et déchiffrer vos messages. C’est hors de question.

Au lieu de cela, vous devez envoyer vos clés via un autre messager sécurisé, tel que Signal ou Télégramme, puis les saisir dans Shhlack. Mais si vous et le destinataire possédez tous les deux Telegram ou une autre application de messagerie chiffrée, pourquoi ne pas simplement l'utiliser pour vos messages en premier lieu?

Deuxièmement, l'utilisateur Scott Reddit ScottContini souligne que "Il y a un problème de sécurité avec la mise en œuvre [de Shhlack] en raison d'un problème de sécurité dans cryptojs."

Le problème provient de la façon dont CryptoJS convertit les mots de passe en clés et de la mise en œuvre actuelle de Shhlack CryptoJS de manière non sécurisée. Lisez le lien ci-dessus pour plus d'informations sur ce problème (ainsi que sur d'autres liens plus détaillés).

Comment installer Shhlack

Avant d'installer, considérez que Shhlack est un travail en cours et peut ne pas protéger vos messages. En tant que tel, "utilisez-le avec un grain de sel!"

Cela dit, les développeurs de Minded Security vous ont facilité l’ajout du cryptage à vos messages Slack. Shhlack est disponible pour:

Google Chrome
Installateur autonome (Windows, Mac, Linux)

Shhlack protégera uniquement les messages sur la plate-forme sur laquelle vous l'installez. Par exemple, si vous installez l'extension Chrome, les messages envoyés par votre navigateur sont sécurisés, mais pas ceux de votre application de bureau. Installer Shhlack est simple. Utilisez les liens ci-dessus pour vous rendre sur l'App Store du navigateur de votre choix, puis suivez les instructions à l'écran pour les ajouter à votre navigateur.

Vous pouvez également télécharger l'archive autonome, puis décompresser à l'aide de votre outil d'archivage préféré. . L'archive autonome contient un certain nombre de fichiers. Localiser patch_slack.bat , puis cliquez et sélectionnez Exécuter en tant qu'administrateur .

La première fois que vous utilisez Slack après l'installation de l'extension autonome ou du navigateur, une boîte de dialogue Shhlack apparaît. (Si ce n’est pas le cas, cliquez sur l’icône de cadenas Shhlack en regard de la zone de saisie du message, ou utilisez la commande Alt + S raccourci.)

Il comporte trois onglets: Envoyer un message, Gérer les phrases secrètes et Clé principale. Ouvrez l’onglet Manage Passphrases et sélectionnez Ajouter un nouveau mot de passe . Ajouter un Nom de la phrase secrète puis ajoutez votre Phrase secrète pré-partagée . La phrase secrète pré-partagée correspond à ce que vous devez partager avec le destinataire du message chiffré prévu. Sinon, ils ne verront que des caractères brouillés.

Gérer les mots de passe dans Shhlack

Comment envoyer un message crypté à l'aide de Shhlack

Ouvrez le panneau Envoyer un message, sélectionnez le nom de votre phrase secrète dans le menu déroulant, puis tapez votre message. Frappé D'accord Quand tu es prêt.

Le message sera diffusé sur la chaîne Slack dans laquelle vous êtes actuellement. Toute personne possédant votre phrase secrète pré-partagée peut déverrouiller le message et en lire le contenu. Ceux qui ne le verront pas verront un mélange de caractères.

Voici à quoi ressemble un message à l'expéditeur:

Message envoyé dans Slack, crypté avec Shhlack

Et voici comment il apparaît aux utilisateurs sans mot de passe:

Un message slack crypté

Vous pouvez également envoyer un message à votre chaîne actuelle en utilisant le mot de passe sélectionné précédemment en ajoutant le mot de passe @@@@ préfixe à votre texte. Par exemple:


@@@@ J'aime

Alternatives de messagerie sécurisée à Slack

Bien sûr, configurer et utiliser Shhlack n’est pas idéal pour tout le monde. Pour certains, c’est trop fastidieux (même si cela vaut la peine d’être appris). Pour d'autres, cela pourrait violer directement les politiques de votre lieu de travail.